Home of the Squeezebox™ & Transporter® network music players.
Results 1 to 6 of 6
  1. #1
    Junior Member
    Join Date
    Dec 2013
    Posts
    12

    HTTPS (SSL)-Verbindung mit Squeezebox Radio bwz. LMS

    Hallo Michael

    Ich hätte eine Frage betreffend https (SSL):

    Wenn ich mich einlogge auf www.mysqueezebox.com geht das standardmässig nur ohne https - was natürlich nicht wirklich sicher ist.

    Will man https verwenden, geht das nur über das Zertifikat von www.squeezenetwork.com - bei mir heisst das: ich muss im Firefox dafür eine Ausnahmegenehmigung erteilen. Dies bedeutet also, www.mysqueezebox.com besitzt kein Eigenes SSL-Zertifikat, sondern nur www.squeezenetwork.com - was wohl vom vorherig benutzten Namen herrührt.

    Soweit so gut: als Workaround für LOGINS via Browser (Firefox) reicht mir das.

    Die wirkliche Frage betrifft nun ...

    1.
    Die Kommunikation von meinen Squeebox Radio (umgewandelt von UE Smartradio): wie ist das dort, geschieht die Kommunikation sowieso nur via http oder wäre eine https Verdingung möglich? Wenn ja, wäre es gut, wenn das Zertifikat auch für www.mysqueezebox.com angepasst/erstellt würde. Oder "generiert" das Squeezbox Radio automatisch eine Ausnahme bwz. verbindet trotzdem via SSL?

    2.
    Die Verbindung zwischen LMS und www.mysqueezebox.com - z.B. für die Anmeldedaten, aber auch für etwaig Sonstiges. Wie ist das dort: geschieht die Kommunikation sowieso nur via http oder wäre eine https Verdingung möglich? Wenn ja, wäre es gut, wenn das Zertifikat auch für www.mysqueezebox.com angepasst/erstellt würde. Oder "generiert" LMS automatisch eine Ausnahme bwz. verbindet trotzdem via SSL?

    Bin gespannt, was Du dazu sagen kannst!

    Mit einem freundlichen Gruss
    Alpengreis

    PS: Hier noch ein Screenshot, wie das bei www.mysqueezebox.com aussieht ...
    Name:  MySqueezeboxCERT.JPG
Views: 1310
Size:  193.7 KB

  2. #2
    Senior Member pippin's Avatar
    Join Date
    Oct 2007
    Location
    Berlin
    Posts
    14,790
    Werder das Radio noch der LMS können wirklich SSL, d.h. die ganze Kommunikation ist unverschlüsselt.
    Aber was genau willst Du abhören? Hast Du Angst, dass jemand mitschneidet, was Du so hörst? Das wäre im Zweifelsfall in der Tat sehr einfach.
    ---
    learn more about iPeng, the iPhone and iPad remote for the Squeezebox and
    Logitech UE Smart Radio as well as iPeng Party, the free Party-App,
    at penguinlovesmusic.com
    New: iPeng 9, the Universal App for iPhone, iPad and Apple Watch

  3. #3
    Junior Member
    Join Date
    Dec 2013
    Posts
    12
    Hallo pippin

    Quote Originally Posted by pippin View Post
    Werder das Radio noch der LMS können wirklich SSL, d.h. die ganze Kommunikation ist unverschlüsselt.
    Aber was genau willst Du abhören? Hast Du Angst, dass jemand mitschneidet, was Du so hörst? Das wäre im Zweifelsfall in der Tat sehr einfach.
    Danke für die schnelle Reaktion.

    Nein, um's eigentliche Abhören geht's mir nicht. Dafür z.B. um Account-Änderungen auf www.squeezebox.com (weniger schlimm, soll halt jemand z.B. meine Wecker-Einstellungen ändern, wenn's denn soviel "Spass" macht). Vorallem aber, wenn SW-Komponenten auf dem Radio sicherheitsanfällig wären oder auf dem Server (LMS), wäre eine Manipulation bei unverschlüsselter Verbindung via MITM (Man-in-the-Middle) doch denkbar und dann auch sehr einfach auszuführen, oder? Wie weit das Konsequenzen im lokalen Netz haben könnte, darüber möchte ich vorallem mehr wissen. Dabei wären DoS-Attacken wohl noch das Harmloseste, könnte ich mir vorstellen.

    Immerhin gibt es ja wieder und wieder verschiedenste SW, bzw. Komponenten (z.B. DLLs), die Lücken aufweisen. Da weiss ich beim Radio und LMS praktisch nichts darüber, ob allfällige Lücken schnell gefixt werden usw. Zwar habe ich Inbound nichts erlaubt, also einfach so auf den Server kommt man nicht (unsolicted Traffic SOLLTE also nicht möglich sein), schon gar nicht von ausserhalb des LocalSubnets - trotzdem aber (eben wegen Manipulation von unverschlüsseltem Traffic) würde mich das mal interessieren.

    Schlussendlich ist es halt doch ein SERVER, der da läuft.

    Ich will hier auch nichts schlecht machen oder so, keineswegs. Es läuft auch alles hervorragend mit LMS (v7.8.1-1424277835). Und danke an alle, die das ganze Projekt am Leben halten!

    Natürlich ist mir auch klar, 100 % Sicherheit gibt's eh nie. Und hyperventilieren werde ich deswegen auch nicht grade. Aber manchmal ist es gut, ein wenig Bescheid zu wissen, wie was so läuft.

    In diesem Sinne ...

    Alpengreis

  4. #4
    Senior Member pippin's Avatar
    Join Date
    Oct 2007
    Location
    Berlin
    Posts
    14,790
    Quote Originally Posted by Alpengreis View Post
    Nein, um's eigentliche Abhören geht's mir nicht. Dafür z.B. um Account-Änderungen auf www.squeezebox.com (weniger schlimm, soll halt jemand z.B. meine Wecker-Einstellungen ändern, wenn's denn soviel "Spass" macht). Vorallem aber, wenn SW-Komponenten auf dem Radio sicherheitsanfällig wären oder auf dem Server (LMS), wäre eine Manipulation bei unverschlüsselter Verbindung via MITM (Man-in-the-Middle) doch denkbar und dann auch sehr einfach auszuführen, oder? Wie weit das Konsequenzen im lokalen Netz haben könnte, darüber möchte ich vorallem mehr wissen. Dabei wären DoS-Attacken wohl noch das Harmloseste, könnte ich mir vorstellen.
    Klar, sowas ist immer denkbar. Nur hilft Dir da ja SSL auch nicht weiter. Wie soll denn die Box prüfen, ob das Zerti OK ist, wenn sich da ein Middleman mit gefälschtem dazwischen hängt. Du hast ja bei einem Gerät kein aktives Zerti-Management wie beim Browser (mal völlig davon abgesehen, dass ich noch nicht dran glaube, dass das bei modernen Browsern wirklich sicher ist...).

    Immerhin gibt es ja wieder und wieder verschiedenste SW, bzw. Komponenten (z.B. DLLs), die Lücken aufweisen. Da weiss ich beim Radio und LMS praktisch nichts darüber, ob allfällige Lücken schnell gefixt werden usw. Zwar habe ich Inbound nichts erlaubt, also einfach so auf den Server kommt man nicht (unsolicted Traffic SOLLTE also nicht möglich sein), schon gar nicht von ausserhalb des LocalSubnets - trotzdem aber (eben wegen Manipulation von unverschlüsseltem Traffic) würde mich das mal interessieren.

    Schlussendlich ist es halt doch ein SERVER, der da läuft.
    Nein, es ist nur ein Client. Aber wenn Du dem gefälschte Antworten unterschiebst, wirst Du sicher irgendwas machen können, klar.
    Ich würde für die Sicherheit da bestimmt auch nicht meine Hand ins Feuer legen, aber die Squeezeboxen sind ja doch eher ein Nischenprodukt, weiß nicht, ob sich da jemand die Mühe macht, das gezielt zu knacken.
    Vor allem müsste der ja für MIM auch erst mal Deine Kommunikation gezielt abfangen... wenn man sowas macht, findet man meiner Meinung nach meistens auch andere Schwachstellen, face it.

    Aber ja, sicher ist das Ganze null....
    ---
    learn more about iPeng, the iPhone and iPad remote for the Squeezebox and
    Logitech UE Smart Radio as well as iPeng Party, the free Party-App,
    at penguinlovesmusic.com
    New: iPeng 9, the Universal App for iPhone, iPad and Apple Watch

  5. #5
    Junior Member
    Join Date
    Dec 2013
    Posts
    12
    Quote Originally Posted by pippin View Post
    Klar, sowas ist immer denkbar. Nur hilft Dir da ja SSL auch nicht weiter. Wie soll denn die Box prüfen, ob das Zerti OK ist, wenn sich da ein Middleman mit gefälschtem dazwischen hängt. Du hast ja bei einem Gerät kein aktives Zerti-Management wie beim Browser (mal völlig davon abgesehen, dass ich noch nicht dran glaube, dass das bei modernen Browsern wirklich sicher ist...).
    Das ist ein Argument, ja. Beim Browser ist's halt wohl eh schwierig zu sagen, WIE sicher das tatsächlich ist.

    Nein, es ist nur ein Client.
    Ich meinte hier LMS. Zumindest im lokalen Netzwerk agiert dieser doch als Server, oder? Sonst wäre der Name auch nicht grade sinnvoll ...

    Aber wenn Du dem gefälschte Antworten unterschiebst, wirst Du sicher irgendwas machen können, klar.
    Ich würde für die Sicherheit da bestimmt auch nicht meine Hand ins Feuer legen, aber die Squeezeboxen sind ja doch eher ein Nischenprodukt, weiß nicht, ob sich da jemand die Mühe macht, das gezielt zu knacken.
    Vor allem müsste der ja für MIM auch erst mal Deine Kommunikation gezielt abfangen... wenn man sowas macht, findet man meiner Meinung nach meistens auch andere Schwachstellen, face it.

    Aber ja, sicher ist das Ganze null....
    Ja, okay, das kann ich mir vorstellen.

    Jedenfalls weiss ich nun, dass SSL nicht wirklich ein Thema ist bei/m der Squeezebox/LMS. So brauche ich auch nicht weiter nachzuhaken diesbezüglich.

    Vielen Dank und eine gute Woche noch!

    Alpengreis

  6. #6
    Senior Member pippin's Avatar
    Join Date
    Oct 2007
    Location
    Berlin
    Posts
    14,790

    HTTPS (SSL)-Verbindung mit Squeezebox Radio bwz. LMS

    Naja, letztlich macht's ja keinen großen Unterschied, ob es ein Server oder ein Client ist, bei der Kommunikation mit MySB ist es immer ein Client, auch LMS,, der ist ja nicht von außen erreichbar.

    Insofern kannst Du ihn nicht einfach von außen angreifen, Du musst schon die Kommunikation von LMS zu MySB abfangen.
    ---
    learn more about iPeng, the iPhone and iPad remote for the Squeezebox and
    Logitech UE Smart Radio as well as iPeng Party, the free Party-App,
    at penguinlovesmusic.com
    New: iPeng 9, the Universal App for iPhone, iPad and Apple Watch

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •